Memahami kemampuan investigasi insiden dan manajemen kasus Microsoft Sentinel
Microsoft Sentinel memberi Anda platform manajemen kasus berformat lengkap untuk menyelidiki dan mengelola insiden keamanan. Insiden adalah nama Microsoft Sentinel untuk file kasus yang berisi kronologi lengkap dan terus diperbarui dari ancaman keamanan, baik itu potongan bukti individu (pemberitahuan), tersangka dan pihak yang menarik (entitas), wawasan yang dikumpulkan dan dikumpulkan oleh pakar keamanan dan model pembelajaran mesin/AI, atau komentar dan log dari semua tindakan yang diambil selama penyelidikan.
Pengalaman investigasi insiden di Microsoft Azure Sentinel dimulai dengan halaman Insiden —pengalaman baru yang dirancang untuk memberi Anda semua yang Anda butuhkan untuk penyelidikan Anda di satu tempat. Tujuan utama dari pengalaman baru ini adalah untuk meningkatkan efisiensi dan efektivitas SOC Anda, mengurangi waktu rata-rata untuk menyelesaikan (MTTR).
Artikel ini membawa Anda melalui fase investigasi insiden umum, menyajikan semua tampilan dan alat yang tersedia untuk membantu Anda.
Tingkatkan kematangan SOC Anda
Microsoft Sentinel memberi Anda alat untuk membantu tingkat kematangan Operasi Keamanan (SecOps) Anda naik.
Menstandarkan proses
Tugas insiden adalah daftar alur kerja tugas yang harus diikuti analis untuk memastikan standar perawatan yang seragam dan untuk mencegah langkah-langkah penting terlewatkan. Manajer dan insinyur SOC dapat mengembangkan daftar tugas ini dan memintanya secara otomatis berlaku untuk berbagai kelompok insiden yang sesuai, atau di seluruh papan. Analis SOC kemudian dapat mengakses tugas yang ditetapkan dalam setiap insiden, menandainya saat selesai. Analis juga dapat menambahkan tugas secara manual ke insiden terbuka mereka, baik sebagai pengingat diri atau untuk kepentingan analis lain yang dapat berkolaborasi pada insiden (misalnya, karena perubahan atau eskalasi pergeseran).
Pelajari selengkapnya tentang tugas insiden.
Mengaudit manajemen insiden
Log aktivitas insiden melacak tindakan yang diambil pada insiden, baik yang dimulai oleh manusia atau proses otomatis, dan menampilkannya bersama dengan semua komentar tentang insiden tersebut. Anda juga dapat menambahkan komentar Anda sendiri di sini. Ini memberi Anda catatan lengkap tentang semua yang terjadi, memastikan ketelitian dan akuntabilitas.
Menyelidiki secara efektif dan efisien
Lihat garis waktu
Hal pertama yang pertama: Sebagai analis, pertanyaan paling mendasar yang ingin Anda jawab adalah, mengapa insiden ini menjadi perhatian saya? Memasukkan halaman detail insiden akan menjawab pertanyaan tersebut: tepat di tengah layar, Anda akan melihat widget garis waktu Insiden. Garis waktu adalah buku harian dari semua pemberitahuan yang mewakili semua peristiwa yang dicatat yang relevan dengan penyelidikan, dalam urutan terjadinya. Garis waktu juga menunjukkan marka buku, rekam jepret bukti yang dikumpulkan saat berburu dan ditambahkan ke insiden tersebut. Lihat detail lengkap item apa pun di daftar ini dengan memilihnya. Banyak dari detail ini—seperti pemberitahuan asli, aturan analitik yang membuatnya, dan marka buku apa pun—muncul sebagai tautan yang dapat Anda pilih untuk menyelam masih lebih dalam dan mempelajari lebih lanjut.
Pelajari selengkapnya tentang apa yang dapat Anda lakukan dari garis waktu insiden.
Belajar dari insiden serupa
Jika sesuatu yang telah Anda lihat sejauh ini dalam insiden Anda terlihat akrab, mungkin ada alasan yang baik. Microsoft Sentinel tetap selangkah lebih maju dari Anda dengan menunjukkan insiden yang paling mirip dengan yang terbuka. Widget Insiden serupa menunjukkan kepada Anda informasi yang paling relevan tentang insiden yang dianggap serupa, termasuk tanggal dan waktu terakhir yang diperbarui, pemilik terakhir, status terakhir (termasuk, jika ditutup, alasan mereka ditutup), dan alasan kesamaan.
Ini dapat menguntungkan penyelidikan Anda dengan beberapa cara:
- Spot insiden bersamaan yang mungkin merupakan bagian dari strategi serangan yang lebih besar.
- Gunakan insiden serupa sebagai poin referensi untuk penyelidikan Anda saat ini—lihat bagaimana insiden tersebut ditangani.
- Identifikasi pemilik insiden serupa di masa lalu untuk mendapatkan manfaat dari pengetahuan mereka.
Widget menunjukkan kepada Anda 20 insiden paling mirip. Microsoft Azure Sentinel memutuskan insiden mana yang serupa berdasarkan elemen umum termasuk entitas, aturan analitik sumber, dan detail pemberitahuan. Dari widget ini Anda dapat melompat langsung ke salah satu halaman detail lengkap insiden ini, sambil menjaga koneksi ke insiden saat ini tetap utuh.
Pelajari selengkapnya tentang apa yang dapat Anda lakukan dengan insiden serupa.
Memeriksa wawasan teratas
Selanjutnya, memiliki kerangka luas tentang apa yang terjadi (atau masih terjadi), dan memiliki pemahaman yang lebih baik tentang konteks, Anda akan penasaran tentang informasi menarik apa yang telah ditemukan Microsoft Sentinel untuk Anda. Ini secara otomatis mengajukan pertanyaan besar tentang entitas dalam insiden Anda dan menunjukkan jawaban teratas di widget Wawasan teratas, terlihat di sisi kanan halaman detail insiden. Widget ini menunjukkan kumpulan wawasan berdasarkan analisis pembelajaran mesin dan kurasi tim ahli keamanan teratas.
Ini adalah subset wawasan yang dipilih secara khusus yang muncul di halaman entitas, tetapi dalam konteks ini, wawasan untuk semua entitas dalam insiden disajikan bersama-sama, memberi Anda gambaran yang lebih lengkap tentang apa yang terjadi. Kumpulan wawasan lengkap muncul di tab Entitas, untuk setiap entitas secara terpisah—lihat di bawah ini.
Widget Wawasan teratas menjawab pertanyaan tentang entitas yang berkaitan dengan perilakunya dibandingkan dengan rekan-rekannya dan riwayatnya sendiri, kehadirannya pada daftar pengawasan atau dalam inteligensi ancaman, atau semacam kejadian tidak biasa lainnya yang berkaitan dengannya.
Sebagian besar wawasan ini berisi tautan ke informasi lebih lanjut. Tautan ini membuka panel Log dalam konteks, di mana Anda akan melihat kueri sumber untuk wawasan tersebut bersama dengan hasilnya.
Menampilkan entitas
Sekarang setelah Anda memiliki beberapa konteks dan beberapa pertanyaan dasar yang dijawab, Anda harus mendapatkan lebih banyak kedalaman tentang pemain utama dalam cerita ini. Nama pengguna, nama host, alamat IP, nama file, dan jenis entitas lainnya semuanya bisa menjadi "orang yang menarik" dalam penyelidikan Anda. Microsoft Sentinel menemukan semuanya untuk Anda dan menampilkannya di depan dan tengah di widget Entitas , bersama garis waktu. Memilih entitas dari widget ini akan mempivot Anda ke daftar entitas tersebut di tab Entitas pada halaman insiden yang sama.
Tab Entitas berisi daftar semua entitas dalam insiden tersebut. Saat entitas dalam daftar dipilih, panel samping terbuka yang berisi tampilan berdasarkan halaman entitas. Panel samping berisi tiga kartu:
Info berisi informasi dasar tentang entitas. Untuk entitas akun pengguna, ini mungkin hal-hal seperti nama pengguna, nama domain, pengidentifikasi keamanan (SID), informasi organisasi, informasi keamanan, dan lainnya.
Garis waktu berisi daftar pemberitahuan yang menampilkan entitas ini dan aktivitas yang telah dilakukan entitas, seperti yang dikumpulkan dari log tempat entitas muncul.
Wawasan berisi jawaban atas pertanyaan tentang entitas yang berkaitan dengan perilakunya dibandingkan dengan rekan-rekannya dan riwayatnya sendiri, kehadirannya pada daftar pengawasan atau dalam inteligensi ancaman, atau semacam kejadian tidak biasa lainnya yang berkaitan dengannya. Jawaban ini adalah hasil kueri yang ditentukan oleh peneliti keamanan Microsoft yang memberikan informasi keamanan yang berharga dan kontekstual tentang entitas, berdasarkan data dari kumpulan sumber.
Pada November 2023, panel Insights mencakup wawasan generasi berikutnya, tersedia dalam PRATINJAU, dalam bentuk widget pengayaan, bersama dengan wawasan yang ada. Untuk memanfaatkan widget baru ini, Anda harus mengaktifkan pengalaman widget.
Bergantung pada jenis entitas, Anda dapat mengambil sejumlah tindakan lebih lanjut dari panel sisi ini:
- Pivot ke halaman entitas lengkap entitas untuk mendapatkan detail lebih lanjut selama rentang waktu yang lebih lama atau luncurkan alat investigasi grafis yang berpusat pada entitas tersebut.
- Jalankan playbook untuk mengambil respons atau tindakan remediasi tertentu pada entitas (dalam Pratinjau).
- Klasifikasikan entitas sebagai indikator kompromi (IOC) dan tambahkan ke daftar Inteligensi ancaman Anda.
Masing-masing tindakan ini saat ini didukung untuk jenis entitas tertentu dan bukan untuk yang lain. Tabel berikut menunjukkan tindakan mana yang didukung untuk jenis entitas mana:
| Tindakan yang tersedia ▶ Jenis entitas ▼ |
Lihat detail lengkap (di halaman entitas) |
Tambahkan ke TI * | Jalankan playbook * (Pratinjau) |
|---|---|---|---|
| Akun pengguna | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| Alamat IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nama domain | ✔ | ✔ | |
| File (hash) | ✔ | ✔ | |
| Sumber daya Azure | ✔ | ||
| Perangkat IoT | ✔ |
* Untuk entitas tempat tindakan Tambahkan ke TI atau Jalankan playbook tersedia, Anda dapat mengambil tindakan tersebut langsung dari widget Entitas di tab Gambaran Umum, tidak pernah meninggalkan halaman insiden.
Menjelajahi log
Sekarang Anda akan ingin turun ke detail untuk mengetahui apa sebenarnya yang terjadi? Dari hampir semua tempat yang disebutkan di atas, Anda dapat menelusuri paling detail pemberitahuan, entitas, wawasan, dan item lain yang terkandung dalam insiden, melihat kueri asli dan hasilnya. Hasil ini ditampilkan di layar Log (analitik log) yang muncul di sini sebagai ekstensi panel halaman detail insiden, sehingga Anda tidak meninggalkan konteks penyelidikan.
Pertahankan catatan Anda dalam urutan
Terakhir, untuk kepentingan transparansi, akuntabilitas, dan kelangsungan, Anda akan menginginkan catatan semua tindakan yang telah diambil pada insiden tersebut - baik oleh proses otomatis atau oleh orang. Log aktivitas insiden menunjukkan kepada Anda semua aktivitas ini. Anda juga dapat melihat komentar apa pun yang telah dibuat dan menambahkan komentar Anda sendiri. Log aktivitas terus-menerus menyegarkan otomatis, bahkan saat terbuka, sehingga Anda dapat melihat perubahan pada log tersebut secara real time.
Langkah berikutnya
Dalam dokumen ini, Anda mempelajari bagaimana pengalaman investigasi insiden di Microsoft Azure Sentinel membantu Anda melakukan penyelidikan dalam satu konteks. Untuk informasi selengkapnya tentang mengelola dan menyelidiki insiden, lihat artikel berikut ini:
- Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel
- Selidiki entitas dengan halaman entitas di Microsoft Azure Sentinel.
- Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel dengan aturan otomatisasi.
- Mengidentifikasi ancaman lanjutan dengan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel
- Lakukan perburuan ancaman keamanan.